Code, stratégie et ressources web & seo

Rootkit Hunter, sécurité pour serveur dédié

RootKit HunterRootkit Hunter est un programme de détection de rootkits, de portes dérobées et d’exploits sur un serveur Linux et bien d’autres systèmes. Pour cela, Rootkit Hunter compare les hash SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus avec des tableaux de hachages qui sont accessibles à partir d’une base de données en ligne. De telles modifications sont souvent le signe d’une infection.

Rootkit Hunter peut détecter les répertoires généralement utilisés par les rootkits, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le noyau Linux et peut effectuer des tests spécifiques à Linux et FreeBSD.

C’est un outil fortement recommandé sur un serveur dédié, à installer le plus tôt possible sur le serveur. Une fois installé et configuré, il n’y aura plus à y penser. Si un problème est détecté, le programme pourra envoyé un courriel d’alerte.

Le progamme recherche activement les RootKits suivants : 55808 Trojan – Variant A, ADM Worm, AjaKit Rootkit, Adore Rootkit, aPa Kit, Apache Worm, Ambient (ark) Rootkit, Balaur Rootkit, BeastKit Rootkit, beX2 Rootkit, BOBKit Rootkit, cb Rootkit, CiNIK Worm (Slapper.B variant), Danny-Boy’s Abuse Kit, Devil RootKit, Dica-Kit Rootkit, Dreams Rootkit, Duarawkz Rootkit, Enye LKM, Flea Linux Rootkit, Fu Rootkit, Fuck`it Rootkit, GasKit Rootkit, Heroin LKM, HjC Kit, ignoKit Rootkit, IntoXonia-NG Rootkit, Irix Rootkit, Jynx Rootkit, KBeast Rootkit, Kitko Rootkit, Knark Rootkit, ld-linuxv.so Rootkit, Li0n Worm, Lockit / LJK2 Rootkit, Mood-NT Rootkit, MRK Rootkit, Ni0 Rootkit, Ohhara Rootkit, Optic Kit (Tux) Worm, Oz Rootkit, Phalanx Rootkit, Phalanx2 Rootkit, Phalanx2 Rootkit (extended tests), Portacelo Rootkit, R3dstorm Toolkit, RH-Sharpe’s Rootkit, RSHA’s Rootkit, Scalper Worm, Sebek LKM, Shutdown Rootkit, SHV4 Rootkit, SHV5 Rootkit, Sin Rootkit, Slapper Worm, Sneakin Rootkit, ‘Spanish’ Rootkit, Suckit Rootkit, Superkit Rootkit, TBD (Telnet BackDoor), TeLeKiT Rootkit, T0rn Rootkit, trNkit Rootkit, Trojanit Kit, Tuxtendo Rootkit, URK Rootkit, Vampire Rootkit, VcKit Rootkit, Volc Rootkit, Xzibit Rootkit, zaRwT.KiT Rootkit, ZK Rootkit.
Adresse web de Rootkit Hunter sur Sourceforge.net :

Installation de RootKit Hunter

Installation de Rootkit Hunter, normalement sans difficulté.

apt-get install rkhunter

Configuration de RootKit Hunter

Configurons :
/etc/rkhunter.conf

Pour éviter les faux positifs, il va falloir faire quelques réglages dans ce fichier de configuration. Au fil du temps, des alertes viendront inévitablement, principalement des faux positifs. Il faudra déterminer pour chacune des alertes si un vrai problème est présent. Faire une recherche sur le web peut apporter beaucoup d’informations sur tel type d’alerte.

Par prévention, dé-commentons ces lignes suivantes si ce n’est pas fait, ou bien ajoutons-les.

ALLOWHIDDENDIR="/dev/.udev"
ALLOWHIDDENDIR="/dev/.static"
ALLOWHIDDENDIR="/dev/.initramfs"

Peut-être utilisez-vous root comme accès SSH, dans ce cas il suffit de remplacer ‘no’ par ‘yes’

ALLOW_SSH_ROOT_USER=yes

Un faux-positif fréquent sur Debian est lié à un fichier /usr/bin/unhide.rb
Si besoin, il est possible de prendre en compte ce faux positif de cette manière :

SCRIPTWHITELIST=/usr/bin/unhide.rb

Pour traiter chaque cas, il convient de se renseigner dans les documentations, les forums, els moteurs de recherche.
Ne pas paniquer à chaque alerte.
Mais ne pas ignorer un nouveau problème qui se présente.

Utilisation de RootKit Hunter

Pour créer la première empreinte qui sera utilisée pour les futurs scans.

rkhunter --propupdate

Pour mettre à jour la base de signatures.

rkhunter --update

Pour faire un scan des fichiers présents.

rkhunter --checkall

le scan peut prendre plusieurs minutes. Il sera demandé plusieurs de poursuivre en appuyant la touche « ENTRÉE ».

Pour éviter de recevoir des faux positifs après chaque mise à jour du système ou de programmes importants, il faut mettre à jour les signatures avec cette commande :

rkhunter --update; rkhunter --propupdate

Cela peut même être automatisé à chaque installation de paquet via un script lancé par le système de paquet. Pour cela il suffit de créer un fichier dans /etc/apt/apt.conf.d/:
/etc/apt/apt.conf.d/98rkhunter

// Update rkhunter file signatures databases after running apt
DPkg::Post-Invoke {
    "rkhunter --update;"
    "rkhunter --propupdate";
};

Que faire en cas de problème ?

Rootkit Hunter va se manifester tôt ou tard. S’il s’agit d’un scan automatique vous recevrez un email précisant qu’un problème potentiel a été trouvé. Pas de panique, il peut s’agir d’un faux positif, notamment si une mise à jour a été effectuée.
La première chose à faire est de vérifier le fichier log rkhunter
/var/log/rkhunter.log
On peut faire la rechercher ainsi pour retrouver plus facilement tout « warning »:

cat /var/log/rkhunter.log | grep -i "warning"

Utiliser Rootkit Hunter seul ne garantit absolument pas que le système n’est pas compromis mais c’est un bon second filet de sécurité, le premier filet de sécurité étant la bonne configuration du serveur. On peut éventuellement le compléter avec un autre programme tel que chkrootkit.

A propos du crash testeur rédacteur de cet article : Crash Master

Crash Master webmaster, codeur, webdesigner, référenceur, testeur de crash SEO sur le crash blog ouvert aux expériences de référencement, aux essais non conformes, aux tentatives black hat, à toutes sortes d'expérimentations parfois perdues d'avance contre le mur blindé de Google. Crash Master à votre service...

2 réponses à Rootkit Hunter, sécurité pour serveur dédié

  • Trop compliqué pour moi.

  • Non ce n’est pas compliqué.
    Et normalement une fois correctement installé et configuré, il n’y plus à y penser.
    … sauf si un problème est détecté.
    Ca fait quelques années que j’utilise. J’ai eu une fois un faux positif.
    Après question sécurité, ce n’est qu’une aide, une sonnette d’alarme grossière.
    La sécurité elle se joue avec la configuration du serveur et de son entretien, des mises à jour, des patchs, etc…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*